Categoría: Actualidad

MongoDB ha alertado recientemente a los administradores de sistemas sobre la existencia de una vulnerabilidad de alta gravedad que podría ser explotada para llevar a cabo ataques de ejecución remota de código (RCE) contra servidores vulnerables. Según el fabricante, la explotación de este fallo permitiría a un atacante comprometer completamente la instancia afectada, por lo que se recomienda aplicar las actualizaciones de seguridad de forma inmediata.

La vulnerabilidad, identificada como CVE-2025-14847, se debe a un manejo inadecuado de la inconsistencia del parámetro de longitud en el servidor MongoDB. Este fallo puede ser explotado por atacantes remotos no autenticados, mediante ataques de baja complejidad y sin interacción del usuario, permitiendo la ejecución de código arbitrario y la posible toma de control del sistema.

Según el aviso de seguridad de MongoDB, el problema está relacionado con la implementación de la compresión zlib, pudiendo provocar la exposición de memoria de montón no inicializada durante el procesamiento de determinadas peticiones. Una explotación exitosa podría afectar gravemente a la confidencialidad, integridad y disponibilidad de los datos almacenados en la base de datos.

Las versiones afectadas incluyen múltiples ramas de MongoDB, desde versiones recientes hasta ramas antiguas aún desplegadas en numerosos entornos, lo que incrementa el riesgo en sistemas no actualizados.

Desde CSIRT-CV se recuerda la importancia de mantener los sistemas actualizados, especialmente en servicios críticos como las bases de datos. MongoDB recomienda actualizar de forma inmediata a una versión corregida. En aquellos casos en los que no sea posible aplicar el parche de manera inmediata, se aconseja deshabilitar temporalmente la compresión zlib y reforzar los controles de red, limitando la exposición de los servidores MongoDB mediante firewalls y segmentación de red. Asimismo, se recomienda monitorizar posibles indicadores de compromiso tras la aplicación de las medidas correctoras.

Para más información técnica y detalles oficiales sobre esta vulnerabilidad, pueden consultarse las siguientes referencias.

Referencias:

https://jira.mongodb.org/browse/SERVER-115508
https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

NVIDIA ha publicado un boletín de seguridad en diciembre de 2025 alertando sobre la corrección de múltiples vulnerabilidades críticas que afectan a NVIDIA Isaac Launchable, una herramienta utilizada en entornos de robótica y simulación. Según el fabricante, la explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código arbitrario, escalar privilegios, provocar denegaciones de servicio y manipular datos, comprometiendo gravemente los sistemas afectados.

El boletín, actualizado el 22 de diciembre de 2025, detalla tres vulnerabilidades catalogadas con severidad crítica (CVSS 9.8) que afectan a todas las versiones anteriores a la 1.1. Los fallos identificados permiten su explotación a través de la red, sin necesidad de autenticación previa ni interacción por parte del usuario, lo que incrementa notablemente el riesgo.

Entre las vulnerabilidades corregidas se encuentran problemas derivados del uso de credenciales predefinidas y de ejecuciones con privilegios innecesarios. En concreto, las CVE CVE-2025-33222, CVE-2025-33223 y CVE-2025-33224 podrían ser aprovechadas por un atacante para obtener control total del sistema, afectando a la confidencialidad, integridad y disponibilidad de los entornos donde se utilice Isaac Launchable.

Desde CSIRT-CV se recuerda la importancia de mantener el software actualizado, especialmente en herramientas que operan en entornos críticos o expuestos a red. NVIDIA recomienda actualizar de forma inmediata a la versión 1.1 o superior, así como revisar que no existan instancias obsoletas desplegadas en entornos productivos o de pruebas. Asimismo, se aconseja restringir el acceso a los sistemas que ejecuten Isaac Launchable y aplicar el principio de mínimo privilegio.

Para más información técnica y detalles oficiales sobre estas vulnerabilidades, puede consultarse el aviso de seguridad publicado por NVIDIA.

Referencias:

https://nvidia.custhelp.com/app/answers/detail/a_id/5749

En estas fechas tan especiales, desde CSIRT-CV, el Centro de Seguridad TIC de la Comunitat Valenciana, queremos desearos unas felices fiestas.

Este año, celebramos 18 años de compromiso con la seguridad de la información y la ciberseguridad ofreciendo servicios de prevención, detección y respuesta ante incidentes en la red, con vocación de servicio público, contribuyendo a una Comunitat Valenciana más segura y fomentando una cultura de ciberseguridad y buenas prácticas digitales.

Como centro adscrito a la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), dentro de la Conselleria de Hacienda, Economía y Administración Pública, renovamos nuestro compromiso de seguir protegiendo, acompañando y concienciando a las personas.

Feliz Navidad y un Año Nuevo cargado de ciberseguridad.

El reciente estreno de Avatar 3 ha generado un gran interés entre los fanáticos, pero también ha sido aprovechado por ciberdelincuentes para lanzar estafas en línea. Según el medio CyberSecurity News, se han identificado una serie de páginas fraudulentas que suplantan servicios de streaming, prometiendo acceso gratuito a la película para engañar a los usuarios y obtener sus datos personales.

Estas páginas falsas imitan el diseño de plataformas legítimas, utilizan logotipos parecidos y, en ocasiones, traducciones automáticas para aparentar autenticidad. Al ingresar, los usuarios son invitados a proporcionar información personal y datos bancarios, bajo el pretexto de registrarse o activar un período de prueba gratuito.

Los delincuentes detrás de estas estafas pueden usar la información recolectada para cometer fraudes, suplantar identidades o vender los datos a terceros. La campaña ha sido detectada en varios idiomas y países, lo que demuestra un esfuerzo coordinado para aprovechar la expectación que genera la película.

Desde CSIRT-CV recordamos que para evitar ser víctima de estas estafas, es importante utilizar únicamente plataformas oficiales de streaming, revisar que la URL sea segura y coincida con el dominio del proveedor oficial, y no hacer clic en enlaces de promociones o descargas sospechosas que lleguen por redes sociales o correo electrónico.

Referencias:

• • https://cybersecuritynews.es/el-lado-oscuro-de-avatar-3-falsos-streaming-y-robo-de-datos-personales/
  • https://cincodias.elpais.com/smartlife/lifestyle/2025-12-19/nueva-pelicula-avatar-peligro-falsos-streaming.html
  • https://www.ituser.es/actualidad/2025/12/avatar-3-nuevo-gancho-para-el-malware
  • https://www.hobbyconsolas.com/hobbycine/avatar-fuego-ceniza-se-puede-ver-gratis-online-te-cuidado-con-estafa-que-prometen-muchas-webs_6913035_0.html